[postfix-jp:03241] APOPパス ワードの保護について

[Tatsuya Ueda <tatsuya@xxxxxxxxxxxxxxx>]

S-Lines Network Service の 上田 です。

直接 postfix にかかわる内容ではないのですが皆さんの意見を伺いたいと思いまして
投稿させていただきます。

当方、 postfix2.0.14 と qpopper4.0.5 , MySQL を利用しユーザの情報をデータベースに
格納した状態でバーチャルな環境を構築しています。
また、現在は qpopper でPOP認証を利用しているのですが以前から可能であればAPOP認証を
利用したいと考えておりました。

最近になり時間ができたのでいろいろと調べてみて MySQL で認証ができ
APOP認証が使用できるPOP3dをいくつか見つけたのですがその時に気づいた点があります。

APOP認証を利用する場合は データベース なり 認証ファイル に平文のパスワードを
保持していなければいけないという点です。

調べてみたところ http://search.luky.org/linux-users.6/msg08245.html の様な
投稿も見つけたのですが、やはりAPOPを使用する際は 平文パスワード をサーバ側で
保持しなければいけないようです。

個人的に、ネットワークに平文のパスワードが流れるよりはサーバ側で権限がなければ
見れないところに平文パスワードが保持されている方がましだとは思うのですが、
みなさんはどうお考えでしょうか？
(ただ平文でパスワードを管理すると考えるとちょっと怖いような・・)

意見を聞かせていただけたらと思います。

それでは。

---
 TATSUYA   E-Mail : tatsuya@xxxxxxxxxxxxxxx
           W e b  : http://TATSUYA.info/